0
您可以聽到很多關於如何使用SSL固定來增加應用安全性的信息。我總是假設SSL固定僅在您使用自簽名證書時纔有用。使用由證書頒發機構簽名的證書時是否有SSL固定的好處,或者CA是否不必要?SSL在iOS上固定簽名證書
A
回答
2
SSL/TLS有一些問題,這些問題的根源是CA系統。默認情況下,您的瀏覽器信任一堆CA。除了諸如主機名等一些基本檢查之外,SSL的真正威力來自於通過中間人驗證證書,直到您獲得您信任的證書。
證書固定指定您只會信任給定網站的給定證書。也就是說,如果您收到由不同CA簽署的「有效」證書(即使您信任該CA),您也不會相信該網站。
簡而言之,CA簽署證書的事實並不減少證書鎖定的需要。
例如:公司有時攔截SSL。爲此,他們實際上爲客戶端提供了一個不同的SSL證書,該證書對客戶端試圖訪問的主機有效。因爲他們可以將任何證書插入受信任的根(通過GPO的窗口),他們可以插入他們的證書,而不是由主機頒發的實際證書。在這種情況下,SSL攔截對用戶是透明的。他們仍然獲得由他們信任的CA簽署的「有效」證書(無論他們是否知道)。如果您一直使用證書鎖定,新證書將被拒絕。
有缺點,證書釘扎,主要是圍繞着證書的管理,因爲它到期等
更多信息,請參見this link。
相關問題
- 1. SSL證書籤名驗證
- 2. SSL鏈簽名證書
- 3. 簽名證書和SSL
- 4. Chromecast自簽名SSL證書
- 5. iOS和SSL:無法驗證自簽名的服務器證書
- 6. iOS簽名證書問題
- 7. ios自簽名證書
- 8. 在IIS6上續簽SSL證書?
- 9. ncat SSL問題,證書驗證失敗(自簽名證書)
- 10. 獲取PHP中的SSL證書籤名
- 11. SSL:瞭解自簽名證書
- 12. SSL或代碼簽名證書
- 13. 自簽名SSL證書403.7錯誤
- 14. 使用自簽名的SSL證書
- 15. 無法信任自簽名SSL證書
- 16. Heroku使用自簽名證書的SSL
- 17. 帶自簽名證書的SSL
- 18. Azure雲服務 - SSL簽名證書
- 19. iframe中的自簽名SSL證書
- 20. 檢查自簽名證書(SSL,C#)
- 21. SSLPeerUnverifiedException使用自簽名SSL證書時
- 22. VB .net接受自簽名SSL證書
- 23. 爲libcurl添加自簽名SSL證書
- 24. d3.js和自簽名SSL證書
- 25. websocket的自簽名ssl證書
- 26. 自動使用自簽名SSL證書
- 27. 設置SSL(自簽名證書)和Tomcat
- 28. 捲曲錯誤60,SSL證書問題:在證書鏈自簽名證書
- 29. iOS:遇到自簽名證書問題。 SSL握手錯誤(-9824)
- 30. iOS和Erlang - SSL握手失敗,自簽名證書